セキュリティエンジニアに必須となる「ネットワーク」基礎知識 その１

セキュリティエンジニアに必須となるネットワーク基礎知識 その1

OSI参照モデルとは

ネットワークスキルを身につけるにあたっての基本中の基本が「OSI参照モデル」を確実に理解することです。OSI参照モデルとは、コンピュータ（パソコンやスマホ等）におけるネットワーク通信を７つの階層に分けた、国際標準モデルのこと。インターネットの標準プロトコルであるTCP／IPもOSI参照モデルに準じています（TCP／IPもネットワークの極めて重要な基本スキルで、こちらは後述します）

OSI参照モデルの具体的な内容説明は、他のサイトにもたくさん掲載されているのでそちらに譲るとして、こちらでは基本的な階層構造について簡単に説明をした上で、これがセキュリティエンジニアにとってなぜ重要なのかについて解説していきます。

OSI参照モデルは、７階層からなっており、下から上に積み上げる様に明記されているのが一般的です。

アプリケーション層
プレゼンテーション層
セッション層
トランスポート層
ネットワーク層
データリンク層
物理層

階層の意味を一つ一つ頭に入れることは重要なのですが、それらがどのような役割を果たしているのかを「流れ」で把握した方が頭に入りやすいものです。そのため、パソコンがインターネットに繋がるまでの「流れ」を説明します。

OSI参照モデルをわかりやすく「流れ」で解説

パソコンに電源を入れると、OSが立ち上がり、パソコンが使えるようになります。
有線のLANケーブルをパソコンの差し込み口であるLANポートに繋ぎます。
LANケーブルのもう一端は、スイッチングHUBに繋がっています。
スイッチングHUBから複数のケーブルが出ていますが、そのうちの一つがルータに繋がっています。ルータにはWANポートとLANポートがありますが、LANポートと記載されている接続口に繋がっています。

ルータのWANポートからもLANケーブルが出ており、それがONU（回線終端装置）に接続されています。ONUからは細いケーブル（光ケーブル）が繋がっており、それがプロバイダ（NTTやNUROなど）と繋がっており、プロバイダのルータを介してインターネットへと繋がっていきます。

以上の説明だけで、OSI参照モデルの下位３層である「物理層」「データリンク層」「ネットワーク層」までの説明ができてしまいます。

「物理層」は読んで字の如く「物理的な層」のこと。

パソコンにLANケーブルを差し込み、LANケーブルを介してスイッチングHUB→ルータ→ONU→光ケーブルを介してプロバイダに入り、インターネットへとデータが流れていくのは、物理的な電気信号が通っているからできること。これは物理層にてやりとりが行われています。電気信号はデジタル信号なので「０」か「１」のみで表現されます。

データリンク層とは

「データリンク層」とは、データを繋ぐ（リンク）層のことで、物理層からくる電気信号をパソコンやスイッチングHUB等の電子機器に取り込む際に使用される層です。

パソコンにある、LANポートの差し込み口にはネットワークインターフェースカード（NIC：ニック）が存在し、NICがパソコンからLANケーブルへと電気信号を放出したり、受け入れたりする役割を果たします。

このNICには、パソコンが工場で作られる際に割り当てられる、世界でただ一つだけの物理アドレスが刻印され、出荷されます。この物理アドレスのことをMACアドレス（Media Access Contorolアドレス)と言います。

スイッチングHUBは、自らが物理的に繋がっている、ケーブルの先にあるパソコンのMACアドレスを知っています。従って、接続されているポートの先にあるパソコンやルータのMACアドレスを知っている状態になります（それらはMACアドレステーブルというメモリ空間上に保存されます）。

パソコンは、データの送受信を行う際に、電気信号を一定の単位に分割した「パケット（小包）」を生成し、放出します。そのパケットを放出する際に、自分（パソコン）のMACアドレスと、相手側のMACアドレス情報（スイッチングHUBのMACアドレステーブルに格納されている情報）をそれぞれ付け加えます。付け加えられたMACアドレス情報のことを「ヘッダ（頭）」と言います。

これで、パソコンがLANケーブルを介してスイッチングHUBまでの通信ができることになりますが、それだけではインターネットの先にあるWebサイトの閲覧やメール等は届きません。

もう一度繰り返しますが、MACアドレスは、工場出荷時にNICに割り当てられた、世界で１つの物理アドレスのことで、パソコンーLANケーブルースイッチングHUBのように、電気信号を物理的にやりとりする際に必要になるアドレスです。自分の隣同士にいる、あるいは物理的に繋がっている端末同志のことはわかっているのですが、インターネットの先にある、Webサイトやメールサーバ等のMACアドレスまでは把握していません。

ネットワーク層とは

ここで必要になるのが「ネットワーク層」です。
ネットワーク層の代表格が「IPアドレス」と「ルータ」です。

インターネットでWebサイトを閲覧したい場合は、閲覧したいWebサイトのIPアドレスを事前に知っておく必要があります。IPアドレスは人間にとって覚えにくくてわかりにくいモノなので、通常は「www.ciso.co.jp」などのように表記させ、それをIPアドレスに変換した「DNS（ドメインネームサービス）」というサービスを利用します。DNSの説明は、本内容と外れるところにありますので割愛しますが、ともかく閲覧したいWebサイトのIPアドレスを知ることで、宛先が確定します。

パソコンは、LANケーブルに電気信号（パケット）を送付する際に、MACアドレスヘッダに加えて、相手側のIPアドレス、自分のIPアドレスが記載されたヘッダを付け加えます。

これで、インターネットの先にあるWebサイトにアクセスするための、長い旅路のスタートラインに立ったことになります。

「データ」「MACヘッダ」「IPヘッダ」の情報を持った電気信号がLANケーブルを通ってスイッチングHUBからインターネットの出入り口となる「ルータ」に送られます。

ルータでは、宛先のIPアドレスと送信元のIPアドレスを見て「これは自社内にあるIPアドレスではないから、隣に繋がっているルータに転送しよう」と判断し、送信元のIPアドレスとして、自分のIPアドレスをヘッダに書き換え、パケットを転送します（これをルーティングといいます）。

パケットを受け取った側のルータは、宛先IPアドレスを見て「これは自分の隣にいるルータに転送すべきアドレスだ」と判断し、送信元のIPを自分のIPアドレスに書き換え、転送します。

イメージとしては、東京からアメリカのボストンにいきたいんだけど、ボストンの具体的な住所はわかっている。だけど行き方がわからない旅行者のようなものです。

旅行者は、自宅からJRに行き、駅員さんに「ボストンまで行きたいんだけど、どうすればいいですか？」と聞きます。すると駅員さんは「それなら山手線に乗って浜松町駅まで行ってください」と答えます。

さらに浜松町駅で駅員さんに「ボストンまで行きたいんですけど、どうすればいいですか？」と聞きます。駅員さんは「モノレールに乗って羽田空港国際線ターミナルに行ってください」と答えます。これを繰り返すことによって、最終目的地であるボストンに到着します。こうやって運ばれる旅行者がパケットであり、駅員さんがルータに該当します。

このような基本的な知識を用いて、攻撃者は攻撃をしかけてきます。
防御する側も同様に知識をもち、攻撃内容を理解して、対策することが求められます。

例えば、データリンク層に関する攻撃手法として、「ARPスプーフィング」があります。